WIFI无线城域网可行性方案规划.doc

WLAN无线覆盖可行性方案一、概述计算机网络的普及给人们的工作、生活带来了深远的影响，同时，人们的需求也在应用过程中不断提高，摆脱线缆的束缚，创造一个自由移动的空间，因此无线局域网（WLAN）应运而生。WLAN通过电磁波在空气中发送和接收数据，而无须线缆介质，与有线网络相比，WLAN具有安装便捷、使用灵活、易于扩展和经济节约等优点。无线局域网(WLAN)采用成熟的以太网技术，将无线通信从移动通信简化出来，绕过高速数据通信在高速移动和跨区穿越等3G技术屏障，优先解决用户无线宽带接入的需求。WLAN同时也得到了网络设备，手持设备等供货商的支持，从目前到未来一年预计会有大量的支持WLAN的产品和应用，这也就是说它将带来无限商机。作为新一代宽带接入经营者，立足于基于IP宽带网络应用，果断和积极将WLAN作为其发展方向，一方面扬长避短，发挥在IP宽带雄厚的技术实力，又避开了兼容移动通信网路的顾虑，发挥先手的优势，从而可以利用这个良好的发展机遇，成为新一代的移动通信经营商。无线热点经营评估WLAN的优势是投资少，可以实现精确部署，在“热点”上可以很快实现这种网络。这是优点，但也是一种潜在的风险。所谓的风险就是一旦探索到了一个成功的商业模式，竞争对手就可以用他们的优势，以更低的成本造价去模仿，去把这些“热点”争夺回去。 “热点”的资源是有限和不可复制的，所以，要保住发展的优势，是这些“热点”的经营者如何在利益上，从一开始就得到保障或者承诺，其重要的关键就在于如何快速的建立起完善而便利的热点方便让使用者来使用所以我们必须以抢占市场先机及取得策略联盟的协助，搭建一个无障碍的使用环境，这意味着若能取得其它相关热点的加盟(如：机场、货运站、麦当劳、商务餐厅、饭店、咖啡厅等)将更能满足消费者的无障碍的使用环境。目前，带无线网卡的设备已大量普及并且售价已经能让消费大众所能接受，所以场地经营商能够以发售预付卡及兼营销售无线网卡的形式，来经营宽带上网业务用户可利用无线接入的账号来进行上网，所以出售储值卡也必须能够与加盟经营者紧密合作，让他们得到收入的分成，类似目前酒店/商务餐厅的合作模式，让加盟营运热点参与经营，提高了场地经营商对经营业务的兴趣，协助开展WLAN业务，建立长期稳定的合作关系。从商业客户群转向大众客户群无线城科技公司提出的“移动办公”的口号，无疑是将用户定位在商业客户群，商业客户对随时随地的宽带接入有最大的需求，具备强大的消费能力，是开展业务的优质客户。作为WLAN开始之初，是非常必要的，正如手提电话刚开始2-3万元一台，只有“大哥大”级别的用户，随着网络的普及，手提电话的降价，变成百姓的生活用品，才造就了今天移动通信的繁荣。相信在不久的将来，支持WLAN的手提电话也会出现和普及，所以在WLAN建设规划，也应该考虑到如何让WLAN的应用平民化。1.1 WLAN无线网络的组建无线局域网可以简单也可以复杂，最简单的网络可以只要两个装有无线适配卡（wireless adapter card）的PC，放在有效距离内，这就是所谓的对等（peer-to-peer）网络，这类简单网络无需经过特殊组合或专人管理，任何两个移动式PC之间不需要中央服务器（central server）就可以相互对通。无线网络访问点（Access Point，简称AP）可增大AD-Hoc网络移动室PC之间的有效距离到原来的两倍。因为访问点是连接在有线网络上，每一个移动式PC都可经服务器与其它移动式PC实现网络的互连互通，每个访问点可容纳许多PC，视其数据的传输实际要求而定，一个访问点容量可达15到63个PC。无线网络交换机和PC之间有一定的有效距离，在室内约为150米，户外约为300米。在大的场所例如仓库中或在学校中，可能需要多个访问点，网桥的位置需要事先考察决定，使有效范围覆盖全场并互相重迭，使每个用户都不会和网络失去联络。用户可以在一群访问点覆盖的范围内漫游（roam）。访问点把用户在不知不觉中从一个访问点的覆盖范围转移到另一个访问点的覆盖范围，确保通讯不会中断。为了解决覆盖问题，在设计网络时可用接力器（Extension Point，简称EP）来增大网络的转接范围，接力器看起来和功能上都像是访问点，但接力器并不接在有线网络上。接力器望文生义，其作用就是把信号从一个AP传递到另一个AP或EP来延伸无线网络的覆盖范围。EP可串在一起，将讯号从一个AP传递到遥远的地方。最后谈一下定向天线：若要将在第一栋楼内无线网络的范围扩展到一公里甚至数公里以外的第二栋楼，其中的一个方法是在每栋楼上安装一个定向天线，天线的方向互相对准，第一栋楼的天线经过网桥连到有限网络上，第二栋楼的天线是接在第二栋楼的网桥上，如此无线网络就可接通相距较远的两个或多个建筑物。1.2 How TO 规划WLAN据Gartner报告，现在美国已经有420万的WLAN用户，到2007年这一数目将达到3100万 ，但部署一个能保证性能的WLAN并非易事。规划WLAN的关键事规划接入点，需要有足够的蜂窝重迭覆盖以供漫游，并需要足够的宽带以功应用。如果无线接入点不足，最后可能导致吞吐量出现问题，同时也会使覆盖区域零星散落，对用户的漫游和工作地点造成一定的限制。1.2.1 考虑移动性需要在做接入点规划时需要考虑用户的移动性需要。一种用户在整个覆盖区域内移动时需要一直与WLAN相连接，就像医生外出时需要查看病人记录。另一种用户需要不时接入WLAN，比如人员在不同大楼会议间歇时需要不时查看电子邮件。第一种需求需要跨越WLAN的无缝漫游，此WLAN需要大接入点密度。而第二种需求属于间断性的无线连接，接入点密度可以相对小一些。1.2.2 计算吞吐量在布置WLAN之前需要考虑WLAN最常使用的是哪种通信，是电子邮件和Web通信，或是对速度要求很高的ERP（企业资源规划），还是CAD（计算机辅助设计）应用程序。是需要速度为54Mbps的802.11g，还是只需要速度为11Mbps的802.11b就足够。不管使用哪一种通信，当用户与接入点的距离过远时，网络速度都会显着下降，所以安装足够的接入点不仅仅是为了支持所有的用户，也是达到用户需要的连接速度所要求的。WLAN宣称的速度并不一定准确对应于它的实际速度。与交换式以太网不同，WLAN是一种共享介质，它更像是老式以太网的集线器模型，将可用的吞吐量分割为若干份而不是每个接入设备提供专线速度。这一限制（通过电波传输数据时还会有50的损耗）对无线网络的吞吐量规划而言是一个很大的问题，计算接入点数目时最好多预留一些空间。仅仅根据用户数目及其最小宽带需求来计算接入点数目是及其冒险的，尽管它可以在一段时间内满足对容量的需求。还要记住的是，即使802.11b现在已经吸引所有人的注意，但802.11a将很快成为高性能WLAN标准的选择 ，所以基础设施应从现在开始支持它，或者至少在不久的将来可以升级至802.11a。1.2.3 防止干扰干扰对于某些机构可能会是个问题。尽管追踪入侵微电波，无绳电话和蓝牙设备并非难事，但更常遇到的是来自网络内部其它接入点甚至是网络外部的干扰。例如：802.11b和802.11g在2.4GHz频带内提供三个相同的非重迭通道，这使得规划密集部署或在相邻WLAN的干扰下工作变得十分困难。理想的情况使，2.4GHz环境中的通道1、6和11永远不会与同一通道相邻，这样它们就不会相互干扰，但这是不现实的。实际上需要一定量的良性蜂窝覆盖重迭以允许用户漫游（20到30最佳），但如果站点处的建筑物超过一层，即便是使用高增益天线，建筑物的层与层之间也会有一些渗漏。802.11a的12个非重迭通道可以在很大程度上缓解通道分配带来的问题。802.11a使用的5.8GHz频带几乎不会造成任何非WLAN干扰，而且用户也不太可能遇到相邻802.11a接入点，原因是这一标准还未像802.11g那样普及。1.2.4 覆盖区域知道WLAN的射频信号是怎样传播的吗？信号频率越低，无线网络传输速度越慢，有效范围就越远。由于大量射频信号以较低频率传播，同时信噪比的灵敏度因为高速调制方式而增加，所以速度为11Mbps的2.4GHz802.11b信号的传播距离远远超过速度为54Mbps的5.8GHz 802.11a信号。WLAN的覆盖范围除了受不同射频带和吞吐量变化而造成的波传播特征影响之外，还会因为自由空间路径损耗和衰减而受到限制。自由空间路径损耗更大程度上是开放或户外环境方面的问题，实际上是无线电信号因为波前扩展引起的扩散导致接收天线接收不到这些信号。衰减则在WLAN的室内安装中比较常见，它是振幅下降，或者射频信号在穿过墙壁、门或其它障碍物时减弱造成的。这就是WLAN在密集建筑物周围性能不好的原因。当面对这种物理上的干扰时，即使弹性比5.8GHz信号好得多的2.4GHz信号，仍然会遇到某些射频问题。多路径效应也是影响覆盖范围的重要因素之一。所谓多路径效应，就是信号被反射并回送的现象。在大多数情况下，多路径效应使接收到的信号被削弱或是完全抵消。于是有一些本来应该充分传播信号的区域几乎或根本没有射频信号覆盖。防止多路径效应的办法是拆除或重新安置机柜和网络设备机架之类的干扰对象，同时增加接入点密度或功率输出。1.2.5安全防范点未经授权用户的接入 由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。 根据以上客观的分析我们做出以下必须在规划无线WLAN网时应解决的问题:1) 有效的覆盖区域2) 考虑移动性需要3) 达到用户需要的连接速度要求4) 防止干扰5) 安全性议题6) 网络优化7) 用户计费二 解决方案1) 考虑移动性需要/有效的覆盖区域 解决方案: 建造WLAN无缝接入蜂窝网规划WLAN的关键事规划接入点，需要有足够的蜂窝重迭覆盖以供漫游，并需要足够的宽带以功应用。如果无线接入点不足，最后可能导致吞吐量出现问题，同时也会使覆盖区域零星散落，对用户的漫游和工作地点造成一定的限制.有线、无线间的无缝连接，让手机轻松上网、视频信号在PC与电视间顺畅传输，这种可能性已经成为现实的应用。在未来10年内，IBM Pervasive Computing部门的战略总监Latina Connelly表示，无线网络将集成到多种网络、设备和服务中去，到时，如果你要设置一个Wi-Fi网，就不再需要购买额外的Wi-Fi兼容硬件了。未来的网络将是普通适用和无线的，电视与掌上计算机的区别可能只是屏幕大小不同了。根据以上分析我公司采用无线城科技的室外型无线AP/网桥ODU-9500一体机来解决这样的问题及需求,其主要利用该机型具备了WDS,及IAPP AP漫游技术其可提供的解决移动计算机的漫游及不固定地点上网将开辟一个全新的领域，这得益于Wi-Fi与新型WDS蜂窝资料网的融合，顶尖的运营商都已经或计划推出了相关服务。这样，无论在哪里，都可以方便地处理数据业务了。若无线网络将允许设备在Wi-Fi网间自如切换，这为用户节省了大量成本。且速度更快。下一步使使得蜂窝电话呼叫能跑在Wi-Fi网上，即无线IP电话。北电网络将这种技术称为“voice over Wi-Fi”，该技术可以使通话成本降低57。将Wi-Fi与运营商的无线技术相结合，将催生出一个很大的市场，不少运营商意识到了这一点，即将有更多的服务推出。手机制造商Motorola、设备制造商Avaya和宽带硬件制造商Proxim组成的联盟，正在测试一种多模手机，它可以在蜂窝网、Wi-Fi或传统数据上进行通话。此外，集成Wi-Fi功能的电话，在一些特殊领域的应用也有了新进展。比如，在医院的急救中心，带有Wi-Fi功能的手机、PDA等与医院的信息系统进行紧密的集成，这样护士的活动空间更大了，但不至于当输液管里的生理盐水不多时找不到她。未来，医院将应用更多的移动终端，以最大化地提高工作效率。Wi-Fi将成为越来越多设备的标准功能，比如电冰箱、游戏机、打印机等。由于移动网络可以找到用户的位置，这样，在一个偌大的办公室或其它环境，移动人员就可以在最近的打印机打印数据了。 5.8GHz网桥 802.11a 108Mbps 5.8GHz网桥 802.11a 108Mbps 5.8GHz网桥 802.11a 108Mbps 2.4GHz AP覆盖接入 802.11b 11Mbps 802.11g 54Mbps 2.4GHz AP覆盖接入 802.11b 11Mbps 802.11g 54Mbps 2.4GHz AP覆盖接入 802.11b 11Mbps 802.11g 54Mbps 2.4GHz AP覆盖接入 802.11b 11Mbps 802.11g 54Mbps 2.4GHz AP覆盖接入 802.11b 11Mbps 802.11g 54Mbps (WLAN无缝接入蜂窝网示意图 )2) 达到用户需要的连接速度要求 无线城科技所生产的ODU-9500同时支持802.11b/802.11g/802.11a三种传输覆盖方式,提供5.8G频段的802.11a桥接功能最高可提供108M的传输速率及30公里的传输距离(网桥功能可支持点对点,及点对多点方式进行桥接;并支持WDS网桥/AP混合模式以供组建成WLAN蜂窝组网)也同时支持落地覆盖接入的2.4G频段的802.11b/802.11g/5.8G频段的802.11a最高连结速率达54M。3) 防止干扰无线城科技所生产的ODU-9500同时支持802.11b/802.11g/802.11a三种传输覆盖方式，2.4G频段的802.11b/g其可提供3个不重迭频段，5.8G频段的802.11a其可提供12个不重迭频段,以供解决日益严重的干扰问题。4) 安全性保证无线网络安全技术应用方案作为一家研究无线网络产品及应用技术的专业性公司，针对现有的无线网络安全性能进行了全面周到的分析和研究 ，在提供给您全面 、先进的无线产品和配套方案的同时 ，还为您制定了一系列的无线安全技术解决方案，从传统的WEP加密到新一代的IEEE802.11i，从MAC地址限制到IEEE802.1x安全认证技术，WiFi-City全面先进的安全技术能够针对不同的应用环境提出相应的方案，无论是大型企业或者是运营商，都能最大程度上满足用户不同级别的安全需求 。在结合了各种安全措施和认证手段后的无线网络 ，具有强大的安全性能，能够有效地防止攻击，保护网络数据的传输安全，各种先进的加密措施保障有效数据不被非法盗取。WiFi-City先进的无线网络安全技术使用户不必再为无线的安全问题而担忧，WiFi-City的全套安全方案使您可以毫无顾虑地在无线网络世界畅游。无线网络安全环节分析无线网络安全防范措施 WiFi-City针对无线网络的各个环节制定出了一系列安全方案，有效防止非法终端接入、虚假的AP、中途数据截取等安全问题，同时灵活地结合了 WEP、VPN、IEEE802.1x 等多种网络安全技术手段 ，进一步加强了无线网络的安全性能。完备的技术解决方案，为您构建安全的无线网络提供最大的便利。安全防范点1：对应措施：未经授权用户的接入使用各种先进的身份认证措施，防止未经授权用户的接入 由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。利用MAC阻止未经授权的接入 每块无线网卡都拥有唯一的一个MAC 地址，为 AP 设置基于 MAC 地址的 Access Control（访问控制表），确保只有经过注册的设备才能进入网络。使用802.1x端口认证技术进行身份认证使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。安全防范点2：网上邻居的攻击对应措施：WiFi-City HotSopt AP特有的用户隔离技术，避免网上邻居的攻击在某些场合（特别是在公共场合），用户信息的私密性显得尤为重要，WiFi-City HotSopt AP提供的用户隔离技术，采用数据报文传送地址分析的方法，这种方法可以控制在无线网络覆盖区域中，网上邻居之间不安全的访问，进而避免网上邻居的攻击。 WiFi-City HotSopt AP 提供的用户隔离技术，避免网上邻居的攻击安全防范点3：非法用户截取无线链路中的数据对应措施： 使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译1)基本的WEP加密 WEP是IEEE802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即设置WEP密钥。2)使用更为先进的加密技术TKIP 使用更新的加密技术，如TKIP，WiFi-City的AP只需要通过简单的软件升级就可以完成对TKIP的支持，进一步加强无线链路中数据的加密性能。安全防范点4： 非法AP的接入对应措施： 利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接入 在无线AP接入有线集线器的时候，会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。WiFi-City HotSpot AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP，则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测。安全防范点5： 企业内部未经授权的跨部门使用对应措施：利用ESSID，MAC限制防止未经授权的跨部门使用利用ESSID进行部门分组，有效地避免任意漫游带来的安全问题，MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源无线网络安全提示 无线网络的安全技术正在日益完善，多手段多层次的安全防范措施使得无线网络越加坚固。当然，光有先进的技术是不完全的，如何利用现有资源结合当前环境来设计出一个安全实用的无线网络是构建无线网络的一个重要环节。WiFi-City 根据多年的行业经验结合丰富的技术知识 ，为构建安全的无线网络提出了专业的设计目标以及注意事项，是您架设无线网络极有价值的参考资料。要设计安全的无线网络，在架设无线网络环境时，需要考虑到以下的一些因素：>>注意AP摆放的物理位置 由于无线信号是在空气中传播的，因此它的界限并不象有线网络那么明确，信号随时会存在于特定范围以外。从物理安全角度考虑，AP的摆放位置需要通过专用仪器进行测量，要尽量减少无线信号泄漏到网络范围以外的区域。>>AP的控制和管理 当一个无线网络拥有多个AP时，如何对这些AP进行管理和监控就显得十分重要，因为如果没有一个合理有效的AP管理系统，将会造成网络安全缺口，给攻击者有机可乘。WiFi-City 的HotSpot AP支持SNMP网管协议，只需要加载WiFi-City提供的私有MIB，就可以方便地通过第三方网管系统对AP设备进行管理、设置。 同时 WiFi-City 为了提供更好的 AP 监控管理，提供了AP 集群管理系统：AirPanel Pro 系统，该系统可以对AP进行扫描、管理，以及组群管理、监控设置、日志管理、系统设置等功能，帮助网管人员集中方便地管理AP，协调整个无线网络的安全运行。AirPanel Pro 系统可以对AP进行扫描、管理，以及组群管理、监控设置、日志管理、系统设置等功能>>用户身份验证和计费管理 在设计无线网络时，必须考虑到无线网络接入有线网络资源的认证和授权。大公司的远程用户常常通过RADIUS（远程用户拔号认证服务）实现网络认证登录。企业的IT网络管理员可以将无线局域网集成到已经存在的RADIUS架构内来简化对用户的管理，这样不仅能实现无线网络的认证，而且还能保证无线用户与远程用户使用同样的认证方法和帐号。 >>简化网络安全管理：集成无线和有线网络安全策略 无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码。>>不能让非专业人员构建无线网络 尽管现在无线局域网的构建已经相当方便，非专业人员可以在自己的办公室安装无线路由器和AP，但是，他们在安装过程中很少考虑到网络的安全性，这就意味着会出现网络安全漏洞。因而，在没有专业系统管理员同意和参与的情况下，要限制无线网络的构建，这样才能保证无线网络的安全。 不同应用环境的无线安全方案 无线网络在不同的应用环境对安全的需求是不同的，WiFi-City根据长期积累的经验，针对各行各业对无线网络的需求，制定了一系列的安全方案，最大程度上方便用户组建安全的无线网络，节省不必要的开支，更好地发挥无线网络“有线速度无线自由”的特性。安全级别典型场合使用技术初级安全小型企业、家庭用户等64、128位WEP加密中级安全仓库物流、医院、学校、餐饮娱乐IEEE802.1x认证机制专业级安全各类公共场合以及网络运营商、大、中型企业、金融机构用户隔离技术 + IEEE802.1x认证 + VPN + Radius的用户认证以及计费1.3 WLAN网络的优化设计与有线网络相比，WLAN具有安装便捷、移动性好、使用灵活、易于扩展等优点，可以为不易布线的地方和远距离的数据处理节点提供强大的网络支持。由于WLAN具有上述不可替代的优点，因而会迅速地应用于需要在移动中联网和在网络间漫游的场合。但与此同时也给WLAN的优化设计与管理带来了很多新的问题。WLAN包括无线网卡和接入点（AP）.无线网卡安装在移动终端上，用来访问AP。无线网卡带有发送器、接收器、天线和提供无线终端接口的硬件。AP是一个桥接的无线基站，放置于固定位置并可连接到有线局域网。AP带有发送器、接收器、天线和桥接器，带有与IEEE802.3有线局域网的接口，可以让无线终端同有线局域网通信。网络结构是进行优化设计的基础。大型WLAN应用的网络结构以基础设施网络为主。基础设施网络提供对其它网络的访问，带有转发功能和介质访问控制等功能。在基于这种结构的网络中，通信只发生在无线节点和AP之间，而不是两个无线节点之间直接通信。AP起到了桥接其它无线或有线网络的作用。这种网络结构典型的使用场景为校园、办公室、超市和仓库。WLAN不同于传统的有线网络，噪声和干扰、建筑物结构、无线设备的摆放及其参数的设置都对WLAN的信号质量和传输速度等性能有很大的影响。因此，WLAN的设计也与有线网络不同。WLAN优化设计的目的是：使无线接入设备覆盖所有期望覆盖的区域，并且具有足够承担预期负载的能力。由于环境的复杂性，WLAN的设计必须通过实际的测量才能达到理想效果。其中，AP的定位和频率分配是WLAN优化设计的两个重要方面。AP的位置首先应根据实际的场景和需求初步进行选择，然后在通过实地测量进行调整。定位需要遵循以下原则：AP的覆盖区域之间无间隙，AP之间重迭区域最小。第一条原则保证所有的区域都能覆盖到，而第二条原则是要尽可能减少所需的AP数量。AP覆盖区域的确定需要根据接收到的信号强度来决定，做法是先设定一个信号强度阀值，例如为满足某小区域的无线终端点播流媒体课件的需求，通过测量得知信噪比SNR10dB是能够保证点播流媒体课件质量稳定的最低信号强度，所以可将10dB作为阀值，凡是信号强度不低于这个阀值的区域就确定为AP的覆盖区域；然后进行实地测量，并记录，产生AP的覆盖区域图；最后根据定位原则进行调整，直到满意为止。由于各个区域的用户密度不同，一般情况下用户密度大的区域情况更复杂，所以应先在用户密度高的区域进行AP的布置然后再布置用户密度低的区域。在空旷的户外可用对称圆形和球形来划定AP覆盖区域；而在规则的狭长或矩形建筑物内可用线形或矩形将AP对称分布。但是由于室内建筑结构的复杂性，例如金属防盗门、铝合金门窗等，应当在初步选择AP位置后进行仔细的测量，以确保布置的AP能够覆盖所有区域。在AP的位置已经固定，覆盖范围也已经确定之后，要考虑的是频率分局的问题。IEEE802.11b的工作频率为2.4GHz，每个通道带宽为22MHz，两个相邻频道的中心距仅为5MHz。在多个频道同时工作的情况下，为保证频道之间的相互干扰最小，可以使用三个互相不重迭的频道。频率分配实质上也就类似于一个用三种颜色给地图涂色的问题。另外，WLAN的优化设计不仅是要从覆盖范围的角度来考虑，还要考虑其负载能力，以保证服务质量。以布置天线为例，假设实际的需求是要保证30个学生同时点播多媒体课件，一个AP不能满足要求，需要在同一教室里面布置两个AP。由于用户需求是动态变化的，AP的实际负载可能会加重或减轻，这些变换可以通过对WLAN监视得知。网络管理员应根据实际变化对AP的数量和分布作出调整。总之，良好的WLAN设计不仅可以保证较好的服务质量，也可以减少AP的使用数量从而节约成本，其前提是事先经过充分的实地测量和评估。5) 用户认证管理核心技术（PPPoE、WEB、DHCP）解决方案认证可称AAA，包含三个方面： Authentication鉴别、Authorization授权、Accounting计费。Radius协议是用来解决AAA的，现在用得最广，成为事实上的标准。 用户主机与网络设备的通信方式：大致可分PPPoE、DHCP/DHCP+、WEB方式；后面会专门介绍这三种方式。 网络设备与AAA Server的通信协议：采用标准的Radius协议，为实现增强功能，可采用扩展的Radius协议，即俗称Radius+；网络设备与AAA Server通过Radius协议的认证的简要过程如下： 1) 网络设备向AAA Server发出Access Request包，其中包含用户的账号、密码、 端口号、埠类型等； 2) AAA Server向网络设备回送Access Response包，其中包含用户的合法性和用户的一些设置，如IP地址，屏蔽，DNS server，上网带宽，上网时段等；3) 网络设备不断向AAAServer发送计费消息包，这些消息包可以反映出上网开始时间，上网结束时间，输入输出流量，Session ID、账号等； 三种认证方式在无线宽带接入中，按用户与网络设备之间的通信方式，可将认证分为以下三种： （1）PPPoE（包PPPoA、PPTP等） （2）DHCP/DHCP+ （3）Web认证 1、PPPoE认证 通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在无线以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。(说明:PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。) PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。 在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户 - 服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。PPPoE一般用于卡号用户，卡号用户的账号和密码是通过PPPoE拔号软件输入的，费用也从输入的账号上扣。 PPPoE认证主要利用PPP的一些属性，与它类似的认证方式还有PPPoA、PPTP、L2TP等。相比之下，PPPoE应用最普遍。 2、DHCP认证 DHCP的认证过程如下： 用户主机上电，发出DHCP Requst广播包；该包到达网络设备，网络设备得到用户的Vlan ID，根据Vlan ID查表得到用户的认证账号。将认证账号送到Radius Server认证。Radius server返回认证回应。 用户上internet，有流量流经网络设备。网络设备检测到用户的上网流量，向Radius server发计费开始的消息包。 关机时，用户主机会发出DHCP Release包；该包达到网络设备，网络设备将向Radius server发一个终止计费的消息包，该包同时也包含了用户的流量。计费结束。 DHCP认证适合固定用户。3、Web认证 认证步骤如下： 用户机器上电启动，系统程序根据配置，通过DHCP由ISN做DHCP-Relay，向DHCP Server 要IP地址（私网或公网）； ISN为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portal server和一些内部服务器，个别外部服务器如DNS）； Portal server向用户提供认证页面。在该页面中，用户输入账号和口令，并单击"log in"按钮。也可不输入由账号和口令，直接单击"Log in"按钮； 该按钮启动portal server上的Java程序，该程序将用户信息（IP地址，账号和口令）送给网络中心设备ISN； ISN8850利用IP地址将收到用户的信息，对用户的合法性进行检查。便于以后的合法性检查。如果用输入了账号，则认为是卡号用户，使用用户输入的账号和口令到Radius server对用户进行认证。如果用户未输入账号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的账号和口令。将账号送到Radius server进行认证； Radius Server返回认证结果给网络设备； 认证通过后，修改该用户的ACL，用户可以访问外部因特网或特定的网络服务。 用户离开网络前，连接到portal server上，单击"断开网络"按钮。系统停止计费，删除用记的ACL和转发信息，限制用户不能访问外部网络。 在以上过程中，要注意检测用户非正常离开网络的情况，如用户主机死机，网络断掉，直接关机等。华为公司提供多种专利检测办法，如根据流量进行判断，通过测试用户主机是否正常运作进行判断等。 4、802.1X-认证一 前言随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求。无线城科技公司率先推出商用化的802.1x协议具有完备用户的认证、管理功能，很好地支撑宽带网络的计费、安全、运营和管理要求，对无线宽带IP城域网等电信级网络的运营和管理具有极大的优势。802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更适合在宽带以太网中的使用。802.1x协议在无线宽带以太网中的成功应用，引发了业界讨论，引起了各厂商的关注，受到了广大ISP的欢迎；国内外各大宽带设备厂商纷纷做好了准备，以迎接新认证时代的到来。二 802.1x协议简介IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol）。IEEE 802.1x协议的体系结构包括三个重要的部分：Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。客户端系统：一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于埠的接入控制，客户端系统需支持EAPOL（Extensible Authentication Protocol Over LAN）协议。认证系统：通常为支持802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等）有两个逻辑端口：受控（controlled Port）埠和不受控埠（uncontrolled Port）。不受控埠始终处于双向连通状态，主要用来传递 EAPOL 协议封包，可保证客户端始终可以发出或接受认证。受控埠只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控埠处于未认证状态，则用户无法访问认证系统提供的服务。 认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。以下图为例图中认证系统的受控端口处于未认证状态，因此无法访问认证系统提供的服务。 EAP：Extensible Authentication Protocol EAPOL：Extensible Authentication Protocol OVER LAN注意的是，在上图所表现的在802.1x协议中的"可控埠"与"非可控端口"是逻辑上的理解，设备内部并不存在这样的物理开关。对于每个用户而言，802.1x协议均为其建立一条逻辑的认证信道，该逻辑信道其它用户无法使用，不存在端口打开后被其它用户利用问题。802.1x认证协议已经得到了很多软件厂商的重视，目前微软公司也在其Windows操作系统中的最新版Windows XP已经整合802.1x客户端软件，用户无需要另外安装客户端软件。三 802.1x技术特性1、实现简单 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。2、认证和业务分离802.1x的认证体系结构中采用了"可控埠"和"不可控端口"的逻辑功能